Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Transkript

1 Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems

2 Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends & Strategien 2

3 Einsatz von Intrusion Detection Systemen Netzwerk-basierte IDS Attacker Internet Internal Net Mitlesen und analysieren von Netzwerkverkehr an Netzwerkübergängen Mitlesen und analysieren von Netzwerkverkehr in gefährdeten Netzwerkbereichen Erkennen, melden und abwehren von Angriffen 3

4 Einsatz von Intrusion Detection Systemen Host-basierte IDS Attacker Internet Internal Net Mitlesen und analysieren von Netzwerkverkehr an Netzwerkübergängen Mitlesen und analysieren von Netzwerkverkehr in gefährdeten Netzwerkbereichen Erkennen, melden und abwehren von Angriffen 4

5 Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends & Strategien 5

6 Cisco Security Portfolio Secure Connectivity Extended Perimeter Security Intrusion Protection Identity Services Security Management Appliances VPN 3000 Series PIX Security App. 6503, 6506 Integrated Switch VPN Module Appliances PIX Security App. Catalyst 6503, 6506 Integrated Switch Firewall Module Appliances 4200 Series PIX Security App Host Based Cisco Sec. Agent Integrated Switch IDS Module Cisco Access Control Server IBNS 802.1x extensions IP Solutions Center (ISC) CiscoWorks VMS v2.2 (VPN/Sec Mgmt Solution) Embedded Device Managers Cisco IOS VPN Cisco IOS Firewall Cisco IOS IDS SOHO 90, 830,1700, 2600, 3600, 3700, 7000 series 6

7 Integrierte Intrusion Detection Überblick Integrierte Cisco IDS Lösungen Host Sensor Router Sensor Cisco Security Agent CSA x00 Firewall Sensor E 515E Mgmt Secure CLI Web UI Enterprise Mgmt Embedded Mgr VMS 7

8 Cisco IOS Firewall mit IDS Überblick Integrierte Stateful Firewall mit Packet Inspection Vergleichbar hohes Sicherheitsniveau Bietet robuste und ausgereifte Sicherheitsfunktionen für jeden Netzwerkknoten Ergänzt andere Cisco IOS Security Funktionen Vorteile Flexibilität (all-in-one Cisco IOS Software Integration) Investitionsschutz Weitere Sicherheitsfunktionen (VPN, IDS, AAA) Skalierbarkeit 8

9 Cisco IOS Intrusion Detection Eigenschaften Arbeitet als In-Line Intrusion Detection Sensor Analysiert Pakete und Verbindungen beim Durchlaufen durch den Router Wenn eine Cisco IOS Firewall IDS Signatures erkannt wird, können Gegemassnahmen eingeleitet werden bevor das Netzwerk kompromitiert wird Meldungen werden an das zentrale Management über Syslog gesendet Folgende Gegenmassnahmen sin möglich Meldung an das zentrale Management Paket verwerfen TCP Verbindung zurücksetzen 9

10 Cisco IOS Intrusion Detection Signaturen Es werden z.z. 101 kritische Signaturen durch das Cisco IOS IDS unterstützt! Schweregrad der unterstützten Angriffe 40 Info Signaturen (z.b. Port Sweep) 61 Attack Signaturen (böswillige Aktivitäten z.b. illegale FTP Kommandos) Komplexität der unterstützten Angriffe 74 atomare Signaturen (einfache Signaturen z.b. unerlaubte IP Header) 27 komplexe Signaturen (Erkennung von komplexen Angriffen z.b. Angriffe auf mehrere Systeme über einen längeren Zeitraum) 10

11 Cisco IDS Netzwerk Sensoren Dedizierte IDS Appliances Günstiges Preis/Leistungsverhältnis in unterschiedlichen Leistungsklassen Haupteigenschaften Turn-Key System Aktuell werden ca Signaturen unterstützt Regelmässige Signatur Updates Integrierte, web-basiertes GUI Zentrales Policy Management optional XL Performance (Mbps) Integriertes Mgmt X X X X 11

12 IDS Device Manager & Event Viewer Integriertes, web-basiertes Management IDM Einfaches, web-basiertes IDS Management und Konfiguration ohne zusätzliche Kosten Haupteigenschaften Sicheres Management über SSL Wizards unterstützen bei Implementation und Wartung IEV Einfache Funktionalitäten zum Sammeln und Korrelieren von IDS Meldungen und Alarmen Haupteigenschaften Grafische und tabellarische Darstellung von IDS Alarmen und Korrelation von Meldungen 12

13 VPN & Security Management Solution Zentrales Polity-basiertes IDS IDS Management Integration in in Cisco Cisco Works Works Bestandteile: Management Center Center for for IDS IDS Monitoring Center Center for for Security 13

14 Zusammenfassung IDS Nutzung von Netzwerkkomponenten als Basisschutz und Informationsquelle Bei speziellen Anforderungen an Leistung und Sicherheitsniveau kommen dedizierte IDS Appliances und Host-basiertes IDS zum Einsatz Alle IDS Komponenten integrieren sich in ein einheitliches Konzept für Management & Monitoring (Cost of Ownership) Alle IDS Komponenten ergänzen sich und können unabhängig voneinander implementiert werden (langfristige Strategie zur Entwicklung einer Lösung, Investitionsschutz) 14

15 Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends & Strategien 15

16 Cisco IDS Strategie und Vision Strategie Bereitstellung der nächsten Generation von Intrusion Protection Lösungen Fokussierung auf die Verhinderung von Fehlalarmen (falsepositives), intelligenten und automatisierten Schutz und komplette Netzwerkintegration Entwicklungsinitiativen Leistungssteigerung von High-End IDS Lösungen Full integration into routers and Catalyst switches Konsistente Dienste und Funktionen auf allen Plattformen Reduzierung von False-Positives Intrusion Prevention ; automatische Verarbeitung Virtualisierung, Multi-Interface per System 16

17 Heutige Probleme Anpassung von Intrusion Detection Systemen ist komplex und erfordert erweitertes Wissen Trotz Anpassung überfluten IDS Lösungen die Administratoren mit Alarmen von möglichen Angriffen. Manuelle Bearbeitung der Meldungen erforderlich Administrator muss manuell folgende Fragen zu jeder Meldung beantworten: War der Angriff erfolgreich? Was war das ergebnis des Angriffs? Was kann gegen den Angriff getan werden? 17

18 Eliminieren, Eskalieren, Vermeiden 1000 Alarms 60% Alarm Generation IDS De-Tune 20% 10% 10% Alarm Manual Correlation Prioritization Manual Verification Manual Response 1000 Alarms Alarm Generation 100% Analyzed Threat Response Thread Response: Eliminieren von Falschmeldungen Eskalieren von kritischen Angriffen Vermeiden von negativen Auswirkungen 18

19 Trend Nächste Schritte der Integration Neue Security Service Module für Switches Firewall Service Module VPN Service Module Basiert auf PIX Firewall Technologie und bietet ultra-hohe Leistungsfähigkeit (100,000 conns/s, 5Gbps Durchsatz) VPN Beschleunigung im ultra-hohen Leistungsbereich (1.9Gbps 3DES Durchsatz, 8000 Tunnel) SSL Service Module SSL Beschleunigung im ultra-hohen Leistungsbereich (3000 conns/s, 300Mbps Durchsatz IDS Service Module Basiert auf Cisco IDS Appliance Technologie und bietet extrem hohe Leistungsfähigkeit (bis zu 600Mbps Analyseleistung) 19

20 Trend Heutige Security Infrastruktur Cisco Security Agents Cisco Secure IDS Modules VPN&Security Management Solution Intranet Cisco Secure IDS Appliance Cisco Secure PIX Firewall DMZ Internet 20

21 Trend Zukünftige Security Infrastruktur Data Center Desktop Access Layer Cisco Tread Response CTR Cisco Security Agents VPN&Security Management Solution Cisco Secure Firewall Modules Cisco Secure IDS Modules Cisco Secure IPSec VPN Modules DMZ Internet 21

22